JP2005512247A

Movatterモバイル変換

Info

Publication number: JP2005512247A
Application number: JP2003551963A
Authority: JP
Inventors: レイル，ピータ，ディー
Original assignee: イレクトラニク、デイタ、システィムズ、コーパレイシャン
Priority date: 2001-12-10
Filing date: 2002-12-06
Publication date: 2005-04-28
Anticipated expiration: 2022-12-06
Also published as: MXPA04005591A; AU2002351251B2; EP1454470B1; ATE526762T1; US7100197B2; EP1454470A1; US20030110399A1; JP4864289B2; CA2469806A1; NZ533457A; AU2002351251A1; WO2003051019A1

Abstract

Translated fromJapanese

本発明の１つの実施例によれば、ネットワークユーザ認証方法は、ユーザに関するネットワーク識別とパスワードを受信し、そのネットワーク識別とパスワードを検証し、そのユーザに対するパスキーを生成し、そのユーザのコンピュータ内に一時的に蓄積するためにそのパスキーをそのユーザに送信する。 According to one embodiment of the present invention, a network user authentication method receives a network identification and password for a user, verifies the network identification and password, generates a passkey for the user, and stores the passkey in the user's computer. Send the passkey to the user for temporary storage.

Description

Translated fromJapanese

本発明は、一般的にコンピュータネットワークに関し、特に、ネットワークユーザ認証システム（network user authentication system）および方法に関する。 The present invention relates generally to computer networks, and more particularly to a network user authentication system and method.

コンピュータネットワークの利用の増加のため、会社、特に大会社は、大量の情報を電子形式で持っている。この電子情報は、典型的には、グローバルに配置された多数のサーバに蓄積される。この蓄積された情報の多くは要注意のものであるか秘密のものである。従って、会社はコンピュータセキュリティに非常に真剣に取り組んでいる。このことから、多くの会社の情報は安全な電気通信チャネルを通じて伝送される。 Due to the increasing use of computer networks, companies, especially large companies, have large amounts of information in electronic form. This electronic information is typically stored in a number of servers located globally. Much of this stored information is sensitive or secret. Therefore, the company is very serious about computer security. For this reason, many company information is transmitted over a secure telecommunications channel.

情報をサーバから従業員のコンピュータに伝送するために安全なチャネルを利用する際には、プロセッサ集中の暗号化がよく用いられる。このアプローチは、コストがかかり、多くの会社の情報は要注意なものでないことから不必要である。暗号化に必要な余分なプロセッササイクルは、重いユーザの負荷の下で、サーバの力をそぐ。 When using a secure channel to transmit information from the server to the employee's computer, processor intensive encryption is often used. This approach is costly and unnecessary because many companies' information is not sensitive. The extra processor cycles required for encryption offload the server under heavy user load.

別のセキュリティとして、多くの会社は、従業員が特定のサーバにアクセスの際に認証されることを要求する。典型的には、この認証は、ユーザがサーバ上の希望する情報にアクセスできるように、ユーザに対してネットワーク識別とパスワードの入力を要求する。しかし、その従業員が別のサーバに蓄積された情報を希望するなら、その従業員はそのサーバ上の情報にアクセスするために、彼または彼女のネットワーク識別（network identification）とパスワード（password）を再入力しなければならない。異なるサーバの度にネットワーク識別とパスワードを再入力することは、負担が重く、しばしば従業員にとって非常にいらだたしいものとなる。 As another security, many companies require employees to be authenticated when accessing a particular server. This authentication typically requires the user to enter a network identification and password so that the user can access the desired information on the server. However, if the employee wants information stored on another server, he or she can use his or her network identification and password to access the information on that server. You must re-enter. Re-entering the network identification and password for each different server is burdensome and often very frustrating for employees.

異なるサーバに対してネットワーク識別とパスワードの再入力をなくすることにある。 To eliminate network identification and password re-entry for different servers.

本発明の１つの実施例によれば、ネットワークユーザ認証方法は、ユーザに関するネットワーク識別（network identification）とパスワード（password）を受信し、そのネットワーク識別とパスワードを検証し、ユーザ用のパスキーを生成し、そのパスキーをユーザに送信してユーザのコンピュータ内に一時的に蓄積する。 According to one embodiment of the present invention, a network user authentication method receives a network identification and password for a user, verifies the network identification and password, and generates a passkey for the user. The pass key is transmitted to the user and temporarily stored in the user's computer.

本発明の別の実施例によれば、ネットワークユーザ認証方法は、ユーザからの要求を受信し、ユーザのコンピュータのメモリ中のパスキーを検索し、そのパスキーを検証し、そのリクエストへのレスポンスを生成する。そのパスキーは、ネットワーク識別、ＩＰアドレス、タイムスタンプ、巡回冗長チェック、そして長さ情報を有する。 According to another embodiment of the present invention, a network user authentication method receives a request from a user, retrieves a passkey in the user's computer memory, verifies the passkey, and generates a response to the request. To do. The passkey has a network identification, IP address, time stamp, cyclic redundancy check, and length information.

本発明の実施例は、多くの技術的利点を提供する。本発明の実施例は、これらの利点の全て、いくつかを含むか、または、これらの利点を含まない。本発明の１つの実施例とともに実施されるネットワークによれば、従業員が、別のサーバにアクセスすることを望む度に彼または彼女のネットワーク識別そして／またはパスワードを入力しなくてもよいようになる。これにより、認証ルールとネットワークセキュリティを維持または向上させつつ、ネットワークユーザの経験を改善する。ネットワーク識別そして／またはパスワードが、新たなサーバが出現する度に入力される必要がなくなるため、各サーバは、ユーザデータベースを持つ必要がなくなり、従って、集中ユーザデータベースを可能とする。加えて、大量のシステムリソースは、不必要なプロセッサ集中の暗号化がなくなるため、解放される。これによって、単一のサーバが認証されたユーザをより収容することができるようになる。 Embodiments of the present invention provide many technical advantages. Embodiments of the present invention may include some, all, or none of these advantages. A network implemented with one embodiment of the present invention allows an employee not to enter his or her network identification and / or password each time they want to access another server. Become. This improves the experience of network users while maintaining or improving authentication rules and network security. Since the network identification and / or password need not be entered each time a new server appears, each server need not have a user database, thus allowing a centralized user database. In addition, large amounts of system resources are freed because unnecessary processor intensive encryption is eliminated. This allows a single server to accommodate more authenticated users.

別の技術的利点は、以下の図、記述そしてクレームから当業者にとってすぐに明白となる。 Other technical advantages will be readily apparent to one skilled in the art from the following figures, descriptions, and claims.

本発明の実施例とその利点は、同様の数字が同様の部分を示す図１〜４の描画を参照することによりよく理解される。 Embodiments of the present invention and their advantages are better understood with reference to the drawings of FIGS. 1-4, wherein like numerals indicate like parts.

図１は、本発明の１つの実施例に従うネットワークユーザ認証システム１００を示すブロック図である。ネットワークユーザ認証システム１００は、インターネットやエキストラネット、他のイントラネットのような、任意の適合するネットワークまたは他の適合する複数のネットワークや多数のネットワークであるネットワーク１０４に接続するイントラネット１０２を含む。イントラネット１０２は、ローカルエリアネットワーク、広域ネットワーク、グローバルコンピューティングネットワークまたは他の適合するプライベートネットワークといった、会社の任意の適合するプライベートネットワークである。示された実施例では、イントラネット１０２は複数のクライアント１０６、複数のウェブサーバ１０８、複数の認証サーバ１１０、ユーザデータベース１１２そしてファイアウォール１１４を有する。イントラネット１０２は、図１に示す構成要素より少ないか、より多いか、異なる構成要素を有する。 FIG. 1 is a block diagram illustrating a networkuser authentication system 100 according to one embodiment of the present invention. The networkuser authentication system 100 includes anintranet 102 that connects to anetwork 104 that is any suitable network or other suitable networks or multiple networks, such as the Internet, extranets, and other intranets.Intranet 102 is any suitable private network of the company, such as a local area network, a wide area network, a global computing network, or other suitable private network. In the illustrated embodiment,intranet 102 includesmultiple clients 106,multiple web servers 108,multiple authentication servers 110,user database 112, andfirewall 114. Theintranet 102 has fewer, more, or different components than those shown in FIG.

図２Ａは、単一のクライアント１０６、単一のウェブサーバ１０８、そして単一の認証サーバ１１０を示すブロック図である。各々の１つのみが、記述を明確にするために示されている。クライアント１０６は、情報を要求し、受信するように動作するのに適した任意のコンピュータ装置、そして／またはソフトウェアである。１つの実施例においては、クライアント１０６は、パーソナルコンピュータ（「ＰＣ」）であるが、クライアント１０６はブラウザを実行するのに適した任意のタイプのコンピュータ装置である。クライアント１０６は、典型的には、会社の従業員のようなユーザに関係している。図２Ａに示されるように、クライアント１０６は、入力装置２００、出力装置２０２、プロセッサ２０４、ブラウザ２０８を蓄積しているメモリ２０６、そしてパスキー２１４を蓄積しているクッキーバッファ２１２を持つストレージエリア２１０を有する。 FIG. 2A is a block diagram illustrating asingle client 106, asingle web server 108, and asingle authentication server 110. Only one of each is shown for clarity of description.Client 106 is any computer device and / or software suitable to operate to request and receive information. In one embodiment,client 106 is a personal computer (“PC”), butclient 106 is any type of computing device suitable for running a browser.Client 106 is typically associated with a user, such as a company employee. As shown in FIG. 2A, theclient 106 includes astorage area 210 having aninput device 200, anoutput device 202, aprocessor 204, amemory 206 storing abrowser 208, and acookie buffer 212 storing apasskey 214. Have.

入力装置２００は、コマンドをクライアント１０６に入力するという目的のために、クライアント１０６と結合する。１つの実施例では、入力装置２００はキーボードであるが、入力装置２００は、マウスやスタイラスのような他の任意の適合する形をとる。出力装置２０２は、液晶ディスプレイ（「ＬＣＤ」）またはカソードレイチューブ（「ＣＲＴ」）ディスプレイのような任意の適合するビジュアルディスプレイ装置である。出力装置２０２は、また、任意の適合する情報をプリントするためのプリンター（図示せず）のような他の任意の装置に接続される。 Input device 200 couples withclient 106 for the purpose of entering commands intoclient 106. In one embodiment, theinput device 200 is a keyboard, but theinput device 200 takes any other suitable form such as a mouse or stylus. Theoutput device 202 is any suitable visual display device such as a liquid crystal display (“LCD”) or cathode ray tube (“CRT”) display. Theoutput device 202 is also connected to any other device such as a printer (not shown) for printing any suitable information.

プロセッサ２０４は、論理を実行する任意のタイプの処理装置から構成される。プロセッサ２０４の１つの機能は、メモリ２０６に蓄積されたブラウザ２０８を実行することである。プロセッサ２０４は、他の適合する機能を実行する。 Theprocessor 204 is comprised of any type of processing device that performs logic. One function of theprocessor 204 is to execute thebrowser 208 stored in thememory 206. Theprocessor 204 performs other suitable functions.

メモリ２０６とストレージエリア２１０は、ファイル、スタック、データベース、または揮発性または不揮発性の他の適合する機構から構成される。メモリ２０６とストレージエリア２１０は、ランダムアクセスメモリ、リードオンリーメモリ、ＣＤ−ＲＯＭ、消去可能メモリ、または、データを蓄積し、そして／または検索できる他の任意の適合装置である。メモリ２０６とストレージエリア２１０は、交換可能であり、同様の機能を実行する。 Memory 206 andstorage area 210 are comprised of files, stacks, databases, or other suitable mechanisms that are volatile or non-volatile.Memory 206 andstorage area 210 are random access memory, read only memory, CD-ROM, erasable memory, or any other compatible device capable of storing and / or retrieving data.Memory 206 andstorage area 210 are interchangeable and perform similar functions.

ブラウザ２０８は、ネットスケープやインターネットエクスプローラーのような、ハイパーテキスト転送プロトコル（「ｈｔｔｐ」）、ハイパーテキスト転送プロトコルセキュア（ｈｔｔｐｓ）、ファイル転送プロトコル（「ｆｔｐ」）、またはユーザをしてウェブサーバ１０８、認証サーバ１１０または他の適合するサーバと通信することを可能とするのに適した他のプロトコルを利用する任意の適合するブラウザである。 Thebrowser 208 can be a hypertext transfer protocol (“http”), hypertext transfer protocol secure (https), file transfer protocol (“ftp”), or aweb server 108 for authentication, such as Netscape or Internet Explorer. Any suitable browser that utilizes other protocols suitable to allow communication withserver 110 or other suitable server.

クッキーバッファ２１２は、一時的にクッキーを蓄積するストレージエリア２１０中に含まれる任意のバッファである。クッキーは、サーバがトランザクション中にブラウザに送る１つの情報である。そして、ブラウザは、このクッキーを、そのブラウザがサーバにコネクトする度にそのサーバに返す。そのサーバは、一般的に数個のウェブページ相互にわたるユーザセッションを保持するために、そのクッキーを用いる。クッキーバッファ２１２は、また、ブラウザ２０８のディレクトリ構造のような、クライアント１０６上の他の適合するロケーションに一時的に蓄積される。 Thecookie buffer 212 is an arbitrary buffer included in thestorage area 210 that temporarily stores cookies. A cookie is a piece of information that a server sends to a browser during a transaction. The browser returns this cookie to the server every time the browser connects to the server. The server typically uses the cookie to hold a user session across several web pages. Thecookie buffer 212 is also temporarily stored in other suitable locations on theclient 106, such as the directory structure of thebrowser 208.

パスキー２１４は、本発明の教えるところに従って、クライアント１０６のユーザが、異なるウェブサーバ１０８にアクセスする度に、ネットワーク識別とパスワードを再入力することなく希望する任意のウェブサーバ１０８にアクセスできるようにする。１つの実施例によれば、パスキー２１４は、本質的には、以下により十分に説明されるように、認証サーバ１１０によって生成された時にクッキーバッファ２１２中に一時的に蓄積される非永続性のクッキーである。このコンテクストにおける非永続性とは、パスキー２１４が、ブラウザ２０８がクローズされるまで、ブラウザ２０８がオープンされている間の期間のみ蓄積されるということを意味する。パスキー２１４の１つの例は、図２Ｂに関して以下に説明される。 Passkey 214 allows the user ofclient 106 to access any desiredweb server 108 without having to re-enter the network identification and password each time a user ofclient 106 accesses adifferent web server 108 in accordance with the teachings of the present invention. . According to one embodiment, thepasskey 214 is essentially a non-persistent that is temporarily stored in thecookie buffer 212 when generated by theauthentication server 110, as will be more fully described below. It is a cookie. Non-persistent in this context means that thepasskey 214 is only accumulated for a period of time while thebrowser 208 is open until thebrowser 208 is closed. One example ofpasskey 214 is described below with respect to FIG. 2B.

ウェブサーバ１０８は、ハイパーテキストマークアップ言語（「ＨＴＭＬ」）ファイル２１８といった情報または他の適合フォーマットの別の情報を蓄積するコンピュータシステムまたは他の適合するハードウェアそして／またはソフトウェアである。ウェブサーバ１０８は、また、パスキーインテグリティツール２２０のようなソフトウェアアプリケーションの実行のために動作する。ウェブサーバ１０８は、また、他の適合する機能を有する。ウェブサーバ１０８のさらなる機能の詳細は、図３と図４に関して以下により十分に説明される。ウェブサーバ１０８は、任意の適合するリンク２２６を介してクライアント１０６と接続している。リンク２２６は、ｈｔｔｐ、ｈｔｔｐｓ、そしてｆｔｐといった、任意のデータ通信プロトコルを介して情報を送信可能な、任意の適合する有線または無線のリンクである。 Web server 108 is a computer system or other suitable hardware and / or software that stores information such as hypertext markup language (“HTML”) file 218 or other information in other compatible formats.Web server 108 also operates for execution of software applications such aspasskey integrity tool 220. Theweb server 108 also has other suitable functions. Additional functional details of theweb server 108 are more fully described below with respect to FIGS.Web server 108 is connected toclient 106 via anysuitable link 226.Link 226 is any suitable wired or wireless link capable of transmitting information via any data communication protocol, such as http, https, and ftp.

認証サーバ１１０は、ＩＤおよびパスワード検証ツール２２２と、パスキー生成ツール２２４といった１または複数のソフトウェアアプリケーションを実行可能なコンピュータシステムまたは他の適合するハードウェアそして／またはソフトウェアである。認証サーバ１１０は、また、パスキーインテグリティツール２２０のようなソフトウェアアプリケーションを実行するために、データベース１１２にアクセスする。認証サーバ１１０は、また、他の適合する機能を有する。認証サーバ１１０のさらなる機能の詳細は、図３と図４に関して以下により十分に説明される。認証サーバ１１０は、任意の適合するリンク２２８を介してクライアント１０６と接続する。リンク２２８は、ｈｔｔｐ、ｈｔｔｐｓ、そしてｆｔｐといった任意のデータ通信プロトコルを介して、情報を送信可能な任意の適合する有線または無線のリンクである。 Authentication server 110 is a computer system or other suitable hardware and / or software capable of executing one or more software applications such as ID andpassword verification tool 222 andpasskey generation tool 224. Theauthentication server 110 also accesses thedatabase 112 to execute software applications such as thepasskey integrity tool 220. Theauthentication server 110 also has other suitable functions. Details of further functionality of theauthentication server 110 are more fully described below with respect to FIGS. Theauthentication server 110 connects to theclient 106 via anysuitable link 228. Thelink 228 is any suitable wired or wireless link capable of transmitting information via any data communication protocol such as http, https, and ftp.

図１に戻って、ユーザデータベース１１２は、会社の従業員に関する情報を蓄積する任意の適合する蓄積媒体である。図示されるように、ユーザデータベース１１２は、以下により詳細に説明するように、ある従業員のネットワーク識別とパスワードを検証するために認証サーバ１１０によってアクセス可能となっている。 Returning to FIG. 1, theuser database 112 is any suitable storage medium that stores information about company employees. As shown, theuser database 112 is accessible by theauthentication server 110 to verify an employee's network identification and password, as described in more detail below.

ファイアウォール１１４は、イントラネット１０２が外部のイントラネット１０２からの攻撃にさらされないようにするハードウェアそして／またはソフトウェアの任意の適合する組み合わせである。 Thefirewall 114 is any suitable combination of hardware and / or software that prevents theintranet 102 from being exposed to attacks from theexternal intranet 102.

図２Ｂは、本発明の教えるところに従ったパスキー２１４の１例を示す表である。一般的に、上述したように、パスキー２１４は、多数のフィールド５０１を有する。これらのフィールドは、長さ５００、巡回冗長チェック（「ＣＲＣ」）５０２、ネットワーク識別５０４、そしてＩＰアドレス５０６、タイムスタンプ５０８、そして／またはその任意の適合する組み合わせを含む。長さ５００は、ネットワーク識別５０４、ＩＰアドレス５０６、そしてタイムスタンプ５０８から成るストリングのような、データフィールドのストリングの文字数を定義する。このデータフィールドのストリングは、また、ＣＲＣ５０２を含む。ＣＲＣ５０２は、ＭＤ５アルゴリズムやハッシングのような任意の適合する自己チェック手法を用いて、パスキーのインテグレティを検証する。ネットワーク識別５０４は、特定のユーザを識別する。ＩＰアドレス５０６は、特定のクライアント１０６を識別する。典型的には、一人のユーザは、そのユーザが特定のセッションの間においてログインするコンピュータの１つのＩＰアドレスに関係付けられる。タイムスタンプ５０８は、いつパスキー２１４が発行されたかを示す。パスキー２１４は、より少ないか、より多いか、または、異なるデータフィールドを有する。 FIG. 2B is a table illustrating an example of apasskey 214 in accordance with the teachings of the present invention. In general, as described above, thepasskey 214 has a number offields 501. These fields include length 500, cyclic redundancy check (“CRC”) 502,network identification 504, and IP address 506, timestamp 508, and / or any suitable combination thereof. The length 500 defines the number of characters in a string of data fields, such as a string consisting of anetwork identification 504, an IP address 506, and a time stamp 508. This string of data fields also includes aCRC 502. TheCRC 502 verifies passkey integrity using any suitable self-checking technique such as MD5 algorithm or hashing.Network identification 504 identifies a particular user. The IP address 506 identifies aspecific client 106. Typically, a single user is associated with one IP address of the computer that the user logs into during a particular session. The time stamp 508 indicates when thepasskey 214 has been issued. Thepasskey 214 has fewer, more, or different data fields.

図３は、本発明の１つの実施例に従ったパスキーインテグリティツール２２０の動作の様々な詳細を示すフローチャートである。その方法は、ステップ３００において開始し、ある要求がユーザから受信される。例えば、クライアント１０６上のユーザは、ウェブサーバ１０８上に含まれるある情報を希望する場合がある。そのユーザは、特定のウェブサーバ１０８上の特定のファイルまたは他の情報にアクセスできるように、特定のユニフォームリソースロケーター（「ＵＲＬ」）を入力するためにブラウザ２０８を活用する。 FIG. 3 is a flowchart illustrating various details of the operation of thepasskey integrity tool 220 according to one embodiment of the present invention. The method begins atstep 300 where a request is received from a user. For example, a user onclient 106 may desire certain information contained onweb server 108. The user utilizesbrowser 208 to enter a particular uniform resource locator (“URL”) so that he can access a particular file or other information on aparticular web server 108.

ステップ３０２において、パスキーインテグリティツール２２０は、パスキー２１４がクライアント１０６のクッキーバッファ中に存在するかを判断する。パスキー２１４が存在しなければ、以下に説明するように、ステップ３１６に進む。パスキー２１２が存在するなら、ステップ３０４に進む。パスキー２１４は、以下に十分説明されるように、認証サーバ１１０によって生成された後にのみ存在する。ステップ３０４においては、パスキーインテグリティツール２２０は、任意の適合するプライベート暗号キーを用いてパスキー２１４を解読する。 Instep 302, thepasskey integrity tool 220 determines whether thepasskey 214 is present in theclient 106 cookie buffer. If thepasskey 214 does not exist, the process proceeds to step 316 as described below. If thepasskey 212 exists, the process proceeds to step 304. Thepasskey 214 exists only after it has been generated by theauthentication server 110, as will be fully described below. Instep 304, thepasskey integrity tool 220 decrypts thepasskey 214 using any suitable private encryption key.

一旦、パスキー２１４が解読されると、パスキー２１４中の様々なデータフィールドが検証される。パスキー２１４を構成するデータフィールドが図２Ｂに関して上述される。その検証は、ステップ３０６から３１２に関して以下に説明される。 Once thepasskey 214 is decrypted, various data fields in thepasskey 214 are verified. The data fields that make up thepasskey 214 are described above with respect to FIG. 2B. The verification is described below with respect to steps 306-312.

ステップ３０６において、パスキー２１４の長さ５００が検証されたかが判断される。一般に、パスキーインテグリティツール２２０は、長さ５００が、認証サーバ１１０によって生成されてから変化したかを判断する。もし、長さ５００が変化したなら、下に示すように、ステップ３２０に進む。もし長さ５００が変化していないなら、長さ５００が検証され、ステップ３０８に進む。ステップ３０８において、ＣＲＣ５０２が検証されたかが判断される。一般に、パスキーインテグリティツールは、ＣＲＣ５０２が、認証サーバ１１０によって生成されてから変化したかを判断する。もしＣＲＣ５０２が変化したなら、下に示すように、ステップ３２０に進む。もしＣＲＣ５０２が変化していないなら、ＣＲＣ５０２は検証され、ステップ３１０に進む。ステップ３１０において、パスキー２１４のネットワーク識別５０４が検証されたかが判断される。一般に、パスキーインテグリティツール１０８は、ネットワーク識別５０４が、パスキー２１４が認証サーバ１１０によって生成されてから変化したかを判断する。もしネットワーク識別５０４が変化したなら、下に示すようにステップ３２０に進む。もしネットワーク識別５０４が変化していないなら、それは検証され、その方法はステップ３１２に進む。ステップ３１２において、ＩＰアドレス５０６が検証されたかが判断される。一般に、パスキーインテグリティツール１０８は、ＩＰアドレス５０６が、パスキー２１４が認証サーバ１１０によって生成されてから変化したかが判断される。もしＩＰアドレス５０６が変化したなら、下に示すように、ステップ３２０に進む。もしＩＰアドレス５０６が変化していないなら、それは検証され、その方法は最終ステップ３１４に進む。 Instep 306, it is determined whether the length 500 of thepasskey 214 has been verified. In general, thepasskey integrity tool 220 determines whether the length 500 has changed since it was generated by theauthentication server 110. If the length 500 has changed, proceed to step 320 as shown below. If the length 500 has not changed, the length 500 is verified and the process proceeds to step 308. Instep 308, it is determined whetherCRC 502 has been verified. In general, the passkey integrity tool determines whether theCRC 502 has changed since it was generated by theauthentication server 110. IfCRC 502 has changed, go to step 320 as shown below. IfCRC 502 has not changed,CRC 502 is verified and proceeds to step 310. Instep 310, it is determined whether thenetwork identification 504 of thepasskey 214 has been verified. In general, thepasskey integrity tool 108 determines whether thenetwork identification 504 has changed since thepasskey 214 was generated by theauthentication server 110. If thenetwork identification 504 has changed, go to step 320 as shown below. If thenetwork identification 504 has not changed, it is verified and the method proceeds to step 312. Instep 312, it is determined whether IP address 506 has been verified. In general, thepasskey integrity tool 108 determines whether the IP address 506 has changed since thepasskey 214 was generated by theauthentication server 110. If the IP address 506 has changed, proceed to step 320 as shown below. If IP address 506 has not changed, it is verified and the method proceeds tofinal step 314.

最終ステップ３１４において、パスキー２１４が満了したかが判断される。一般に、パスキーインテグリティツール２２０は、パスキー２１４内のタイムスタンプ５０８と現時刻とを用いて、パスキー２１４が生成されてから経過したタイムピリオドを決定する。このタイムピリオドは、ウェブサーバ１０８上に蓄積された許容時間と比較される。そのタイムピリオドが許容時間より少ないか等しいなら、パスキー２１４は満了しておらず、ステップ３２２に進んでユーザの要求に対して情報提供がされる。言い換えると、ＸＭＬファイル２１６またはＨＴＭＬファイル２１８のようなユーザが望む情報がユーザに対して送られる。もしそのタイムピリオドが許容時間より大きいなら、ステップ３１５に進む。 In afinal step 314, it is determined whether thepasskey 214 has expired. In general, thepasskey integrity tool 220 uses the time stamp 508 in thepasskey 214 and the current time to determine the time period that has elapsed since thepasskey 214 was generated. This time period is compared with the allowable time stored on theweb server 108. If the time period is less than or equal to the allowed time, thepasskey 214 has not expired and the process proceeds to step 322 where information is provided for the user's request. In other words, information desired by the user, such as anXML file 216 or anHTML file 218, is sent to the user. If the time period is greater than the allowable time, go to step 315.

ステップ３１５において、パスキー２１４は、満了しているため、クッキーバッファ２１２から消去される。ステップ３１６において、転送要求がクライアント１０６に送信される。この転送要求は、本質的には、クライアント１０６を認証サーバ１１０に向け直させる。そして、ステップ３１８において、クライアント１０６は認証サーバにコネクトされる。そして、その方法は、以下の図４に示すように続けられる。 Instep 315, thepasskey 214 has been expired and is deleted from thecookie buffer 212. Instep 316, the transfer request is sent to theclient 106. This transfer request essentially redirects theclient 106 to theauthentication server 110. Instep 318, theclient 106 is connected to the authentication server. The method then continues as shown in FIG. 4 below.

図４は、本発明の実施例に従ったＩＤおよびパスワード検証ツール２２２の動作とパスキー生成ツール２２４の動作の様々な詳細を示すフローチャートである。ステップ４００において、ある要求がユーザから受信される。１つの実施例においては、この要求は上記ステップ３００においてウェブサーバ１０８によって受信された要求と同じ要求である。認証サーバ１１０がその要求を受信した時、ＩＤおよびパスワード検証ツール２２２は、ステップ４０２において、ユーザのネットワーク識別とパスワードの入力を促す。ＩＤおよびパスワード検証ツール２２２は、ステップ４０４においてユーザのネットワーク識別とパスワードを受信する。ステップ４０６において、ユーザのネットワーク識別とパスワードが有効かの判断がなされる。このステップにおいて、ＩＤおよびパスワード検証ツール２２２は、ユーザの識別とパスワードを検証するためにユーザデータベース１１２（図１）にアクセスする。もしそのネットワーク識別そして／またはパスワードが有効でないなら、ステップ４０２のユーザを促すステップに進む。ユーザは、有効な識別とパスワードが入力されなかったために、彼または彼女がパスキーを受信できないことを示すエラーメッセージがそのユーザに送信される前に、ある回数のトライアルが許される。もしユーザのネットワーク識別とパスワードがステップ４０６において有効とされると、ステップ４０８に進む。 FIG. 4 is a flowchart illustrating various details of the operation of the ID andpassword verification tool 222 and the operation of thepasskey generation tool 224 according to an embodiment of the present invention. Instep 400, a request is received from a user. In one embodiment, this request is the same request received byweb server 108 instep 300 above. When theauthentication server 110 receives the request, the ID andpassword verification tool 222 prompts for the user's network identification and password instep 402. The ID andpassword verification tool 222 receives the user's network identification and password atstep 404. Instep 406, a determination is made whether the user's network identification and password are valid. In this step, the ID andpassword verification tool 222 accesses the user database 112 (FIG. 1) to verify user identification and password. If the network identification and / or password is not valid, go to step 402 prompting the user. The user is allowed a certain number of trials before an error message is sent to the user indicating that he or she cannot receive a passkey because a valid identification and password were not entered. If the user's network identification and password are validated atstep 406, proceed to step 408.

ステップ４０８において、ユーザのパスワードが満了したかが判断される。もう一度、ＩＤおよびパスワード検証ツール２２２は、典型的には、そのパスワードが満了したか否かを判断するためにユーザデータベース１１２にアクセスする。もしそのパスワードが満了していたら、そのユーザは、ステップ４１０において彼または彼女のパスワードの変更を促され、上述したようにステップ４０２に進む。もしそのパスワードが満了していないなら、最終ステップ４１２に進み、そのパスワードが停止されているかの判断がなされる。ＩＤおよびパスワード検証ツール２２２は、そのパスワードが停止されているか否かを判断するため、もう一度ユーザデータベース１１２にアクセスする。もしそのパスワードが停止されていたら、ステップ４１４において、ユーザに対してエラーメッセージが送信され、処理は終了する。もしそのパスワードが停止されていないなら、ステップ４１６に進む。 Instep 408, it is determined whether the user's password has expired. Once again, the ID andpassword verification tool 222 typically accesses theuser database 112 to determine whether the password has expired. If the password has expired, the user is prompted to change his or her password atstep 410 and proceeds to step 402 as described above. If the password has not expired, the process proceeds tofinal step 412 to determine if the password has been stopped. The ID andpassword verification tool 222 accesses theuser database 112 again to determine whether the password has been stopped. If the password has been stopped, instep 414, an error message is sent to the user and the process ends. If the password has not been stopped, go to step 416.

ステップ４１６において、パスキー２１４が生成される。１つの実施例においては、パスキー２１４は以下のように生成される。ネットワーク識別５０４、ＩＰアドレス５０６、そしてタイムスタンプ５０８が、一時的にデータフィールドのストリングとしてバッファ（図示せず）に蓄積される。ネットワーク識別５０４は、ユーザによって入力され、ＩＤおよびパスワード検証ツール２２２によって検証されていることから、既知である。ＩＰアドレス５０６は、特定のクライアント１０６に特有のものであるため、既知である。タイムスタンプ５０８は、認証サーバ１１０によって、現時刻に基づいて決定される。次に、許可パスキー生成ツール２２４に格納された任意の適合アルゴリズムを用いて、そのデータフィールドのストリングに対するＣＲＣ５０２が決定される。データフィールドのストリングには、そのデータフィールドのストリングに対する長さ５００が決定される前にＣＲＣ５０２が付加される。そして、長さ５００がパスキー２１４を生成するためにデータフィールドのストリングに付加される。パスキー２１４を生成する他の適合する方法が用いられる。ネットワーク識別５０４、ＩＰアドレス５０６、そしてタイムスタンプ５０８を有するデータフィールドのストリングにおける長さ５００が決定される。別の実施例においては、ネットワーク識別５０４、ＩＰアドレス５０６、そしてＣＲＣ５０２を有するデータフィールドのストリングにおける長さ５００が決定される。パスキー生成ツール２２４は、パスキー２１４を暗号化するために任意の適合する暗号化技術を用いる。１つの実施例においては、８０ビット暗号化技術が用いられる。 Instep 416, apasskey 214 is generated. In one embodiment, thepasskey 214 is generated as follows.Network identification 504, IP address 506, and timestamp 508 are temporarily stored in a buffer (not shown) as a string of data fields. Thenetwork identification 504 is known because it is entered by the user and verified by the ID andpassword verification tool 222. The IP address 506 is known because it is unique to aparticular client 106. The time stamp 508 is determined by theauthentication server 110 based on the current time. Next, theCRC 502 for the string of data fields is determined using any suitable algorithm stored in the authorizedpasskey generation tool 224. ACRC 502 is appended to the data field string before the length 500 for the data field string is determined. The length 500 is then appended to the data field string to generate thepasskey 214. Other suitable methods for generating thepasskey 214 are used. A length 500 in a string of data fields having anetwork identification 504, an IP address 506, and a time stamp 508 is determined. In another embodiment, a length 500 in a string of data fields having anetwork identification 504, an IP address 506, and aCRC 502 is determined. Thepasskey generation tool 224 uses any suitable encryption technique to encrypt thepasskey 214. In one embodiment, 80-bit encryption technology is used.

一旦パスキー２１４がパスキー生成ツール２２４によって生成されると、ステップ４１８に進み、パスキー２１４が一時的に蓄積されるためにクライアント１０６に送信される。ステップ４１８において、認証サーバ１１０が、パスキー２１４がクライアント１０６のクッキーバッファ２１２中に蓄積されているか否かを判断するために、転送要求がクライアント１０６に送信される。ステップ４２０において、パスキー２１４がクライアント１０６から受信されたかが判断される。パスキー２１４が受信されていないなら、ステップ４２２において、そのユーザは、彼または彼女のクッキーバッファ２１２を起動（すなわち、活動）させるよう促す。最終ステップ４２４において、クッキーバッファが起動されているかが判断される。もしクッキーバッファ２１２が起動していないなら、処理は終了する。しかし、もしクッキーバッファ２１２が起動しているなら、上述したようにステップ４１８に進む。もしパスキー２１４がステップ４２０において認証サーバ１１０によって受信されると、ステップ４２６に進み、別の転送要求がクライアント１０６に送信される。この転送要求は、本質的には、クライアント１０６をウェブサーバ１０８に導く。ステップ４２８において、クライアント１０６はウェブサーバ１０８にコネクトされ、上記図３において説明したように、ステップ３００に進む。 Once thepasskey 214 is generated by thepasskey generation tool 224, the process proceeds to step 418, where thepasskey 214 is transmitted to theclient 106 for temporary storage. Instep 418, the transfer request is sent to theclient 106 in order for theauthentication server 110 to determine whether thepasskey 214 is stored in thecookie buffer 212 of theclient 106. Instep 420, it is determined whether apasskey 214 has been received from theclient 106. If thepasskey 214 has not been received, atstep 422 the user prompts to activate (ie, activate) his or hercookie buffer 212. Infinal step 424, it is determined whether the cookie buffer is activated. If thecookie buffer 212 is not activated, the process ends. However, if thecookie buffer 212 is active, go to step 418 as described above. If thepasskey 214 is received by theauthentication server 110 atstep 420, the process proceeds to step 426 and another transfer request is sent to theclient 106. This transfer request essentially directs theclient 106 to theweb server 108. Instep 428, theclient 106 is connected to theweb server 108 and proceeds to step 300 as described above in FIG.

上記図３において説明した方法は、イントラネット１０２中の任意のウェブサーバ１０８によって実行される。従って、一旦パスキー２１４がクライアント１０６のクッキーバッファ２１２に蓄積されると、その特定のユーザは、上記図３において説明された方法に従って、任意のウェブサーバ１０８にアクセスする。これによって、ユーザは、彼または彼女のネットワーク識別そしてパスワードをその都度再入力することなくウェブサーバ１０８からウェブサーバ１０８に「ジャンプ」することができるようになる。これによって、ユーザは考える時間とフラストレーションを小さくできる。加えて、会社の重要でない情報を送信する際には安全なチャネルが必ずしも必要でないため、様々なウェブサーバ１０８の相当な処理能力を解放できる。必要とされる安全なチャネルは、クライアント１０６から認証サーバ１１０までのチャネルのみである。別の実施例では、ウェブサーバ１０８は安全なチャネルを通じて重要な情報を送信するが、これは送信される情報のタイプによる。 The method described in FIG. 3 is executed by anarbitrary web server 108 in theintranet 102. Thus, once thepasskey 214 is stored in thecookie buffer 212 of theclient 106, that particular user accesses anyweb server 108 according to the method described in FIG. This allows the user to “jump” fromweb server 108 toweb server 108 without having to re-enter his or her network identification and password each time. This saves the user time and frustration. In addition, a secure channel is not always necessary when transmitting non-corporate information, thus freeing up considerable processing power ofvarious web servers 108. The only secure channel required is the channel fromclient 106 toauthentication server 110. In another embodiment, theweb server 108 transmits important information over a secure channel, depending on the type of information being transmitted.

本発明の実施例とそれらの利点が詳細に記述されてきたが、当業者は、添付されるクレームによって決定される本発明の思想および範囲を逸脱することなく、様々な変更と修正、そして削除をすることができる。 While embodiments of the present invention and their advantages have been described in detail, those skilled in the art will recognize that various changes, modifications, and deletions can be made without departing from the spirit and scope of the present invention as determined by the appended claims. Can do.

本発明およびその特徴と利点は、添付図面に関する下記の説明を参照することにより、より完全に理解される。
本発明の１つの実施例に従ったネットワークユーザ認証システムを示すブロック図である。本発明の１つの実施例によるクライアント、ウェブサーバ、そして認証サーバを示すブロック図である。本発明の教えるところに従ったパスキーの一例を示す表である。本発明の１つの実施例に従ったパスキーインテグリティツールの様々な詳細を示すフローチャートである。識別およびパスワード検証ツールとパスキー生成ツールの様々な詳細を示すフローチャートである。The invention and its features and advantages will be more fully understood by reference to the following description taken in conjunction with the accompanying drawings.
1 is a block diagram illustrating a network user authentication system according to one embodiment of the present invention. FIG. FIG. 2 is a block diagram illustrating a client, a web server, and an authentication server according to one embodiment of the present invention. FIG. 5 is a table showing an example of a passkey according to the teachings of the present invention. FIG. 6 is a flowchart illustrating various details of a passkey integrity tool according to one embodiment of the present invention. FIG. 6 is a flowchart showing various details of an identification and password verification tool and a passkey generation tool.